证书撤销方法研究(2)

TimeStampReq ::= SEQUENCE  {    version          INTEGER  ,    messageImprint    MessageImprint,    reqPolicy  TSAPolicyId OPTIONAL,    nonce    INTEGER  OPTIONAL,    certReq  BOOLEAN  DEFAULT FALSE,    extensions [0] IMPLICIT Extensions  OPTIONAL  } MessageImprint ::= SEQUENCE  {   hashAlgorithm AlgorithmIdentifier,   hashedMessage  OCTET STRING   signCertID       INTEGER  }

该消息与rfc3161的协议相比增加了只增加了签字证书的序列号，即消息中的阴影部分的内容。

（2）时间服务器接受到请求后，首先检查signCertID对应的签字证书的有效性，如果有效则按照通常的时间服务进行处理，生成响应消息，发送给签字者。响应消息的格式为：

 

TimeStampResp ::= SEQUENCE  { Status    PKIStatusInfo, timeStampToken TimeStampToken OPTIONAL } TSTInfo ::= SEQUENCE  {  version       INTEGER,  policy        TSAPolicyId,  messageImprint  MessageImprint,  serialNumber   INTEGER,  genTime   GeneralizedTime,  accuracy  Accuracy  OPTIONAL,  ordering  BOOLEAN DEFAULT FALSE,  nonce     INTEGER  OPTIONAL,  tsa   [0] GeneralName  OPTIONAL,  extensions [1] IMPLICIT Extensions OPTIONAL  }

在这个消息中格式与原来协议的格式一样，只是messageImprint 使用请求者发送来的messageImprint，即包含了请求者的签字证书的序列号。时间戳是对TSTInfo的签字，包括当前时间和messageImprint，因此其他用户不能更改时戳中的签字证书的序列号。

（3）签字者按照正常时间戳的使用方式使用时间服务器发送来的时间戳，他在对消息X签字时务必使用在时戳请求中包含的签字证书序列号对应的证书。

（4）其他用户在验证该签字时，首先验证时戳是否正确，然后在验证签字所使用的证书的序列号和时戳messageImprint中包含签字证书序列号是否一致，如果一致则表明该证书在使用时是有效的。

       在一个安全性要求较高的环境中，时间服务器是必须的，其安全性也是必须要保证的，这样把证书状态响应服务与时间服务相连，可以节省状态响应服务器运行的成本，并且证书的使用者也可以通过验证时戳达到验证了证书状态的目的，从而节省了用户的资源和时间。

       本文提出的结合时戳服务，提供证书状态信息，可以有效的解决证书撤销带来的问题，同时节约了用户和系统的资源和时间，并且对当前的时戳服务只需做一些小的改进，容易实现。上述关于证书撤消的各种方法具有不同的及时性，可以应用于各种不同的环境。除了成本方面的考虑，最合适的方法还依赖于风险评估。该领域的研究还在继续，新的撤消方法还会不断出现。

1  Housley.R, Fond.W, Polk.W, et al. Internet X.509 Public Key Infrastructure Certificate and CRL Profile[S]. (1999-1), RFC 2459.

2 Adams C, Farrell S. Internet X.509 Public Key Infrastructure Certificate Management Protocols [S]. (1999-03), RFC, 2510.

3  Carlisle Adams, Steve Lloyd 著, 冯登国 等译. 公开密钥基础设施——概念、标准和实施[M]. 人民邮电出版社, 2001.1.

4   金融系统电子商务联络与研究小组，电子商务——安全认证与网上支付[M], 人民出版社.2000.4.

5  Cain, P., Pinkas, D., and R. Zuccherato, "Internet X.509 Public Key Infrastructure Time Stamp Protocol",[S], rfc3161.

6  薛源, 周永彬, 郭建锋, 倪惜珍. 基于Huffman算法的证书撤销树[J]. 通信学报. 2005,26(2):45-50.

7  王永静, 谢冬青, 陈华勇. 证书撤销机制的分析与设计[J]. 计算机应用研究. 2004,21(9):147-149.

8  刘爱江, 何大可, 许长枫. 基于排队模型的证书撤销机制分析.计算机应用研究[J]. 2004 ,21(4):68-70.